Joomla.it Forum

Non solo Joomla... => Sicurezza => : MasterTheBest 09 Feb 2013, 10:46:02

: Sicurezza o componente impazzitto?
: MasterTheBest 09 Feb 2013, 10:46:02

Sistemando alcuni indirizzi "errati" con il plugin redirect, ho trovato questo

index.php?option=com_spidercalendar&date=999999.9%27%20union%20all%20select%20null%2Cnull%2Cconcat%280x3D3D3D3D3D,username,0x3D,password,0x3D3D3D3D3D%29%2Cnull%2Cnull%2Cnull%20from%20jos_users+--+%20D4NB4R[/size]

[size=78%]Che ne pensate? Ne parliamo anche su gplus, in questo post (https://plus.google.com/107675373817317923667/posts/Rhmy8dcUFgf).[/size]

: Re:Sicurezza o componente impazzitto?
: mau_develop 09 Feb 2013, 13:05:22

...ma di che joomla? ... a che versione joomla risalgono?
.. quella era una vulnerabilità delle prime 2.5.x se non erro (ops... mistake... 1.5.x)

quale componente fa delle UNION + CONCAT su user e password e soprattutto nella get...?!

: Re:Sicurezza o componente impazzitto?
: MasterTheBest 09 Feb 2013, 18:26:11

Joomla 2.5.8, aggiornata oggi alla .9
Sinceramente non saprei, l'unico componente installato è di DisqUs

: Re:Sicurezza o componente impazzitto?
: mau_develop 09 Feb 2013, 18:37:55

quei link vengono memorizzati se abiliti il plugin redirect e non sono ne più ne meno che le request che non trovano soddisfazione.

: Re:Sicurezza o componente impazzitto?
: MasterTheBest 09 Feb 2013, 21:10:28

Cioè il redirect genera questi indirizzi?

: Re:Sicurezza o componente impazzitto?
: giovi 09 Feb 2013, 21:55:45

qualcuno ha digitato quell'indirizzo nel suo browser ed ha semplicemente ricevuto un errore 404. Il componente memorizza tutti gli errori 404 e te li indica li

: Re:Sicurezza o componente impazzitto?
: MasterTheBest 09 Feb 2013, 22:23:35

Lo so, grazie, ma qui non si tratta di una lettera sbagliata o di un semplice errore di reindirizzamento.

È un pò anomalo come indirizzo, non ti pare???

: Re:Sicurezza o componente impazzitto?
: giovi 10 Feb 2013, 08:58:10

Se lo sai perché chiedi se è stato il componente a generarlo... Semplicemente qualcuno ha pensato (sperato) che tu non avessi aggiornato joomla* e ci ha provato, punto. Te l'ha spiegato mau che era un bug delle versioni precedenti. Chiaramente è un attacco automatizzato, a meno che il tuo vicino di casa non ti odi a morte al punto da cercare di buttarti giù il sito, e non c'è altro che puoi fare che assumere un atteggiamento preventivo verso questi attacchi (e non gridare aiuto solo perché ti sei ritrovato la url nel componente, è chiaro che un sito visibile al pubblico è esposto a queste eventualità!).
Preparati il tuo backup completo, stai attento a ciò che installi e passa una buona settimana :)

*o hai installato un componente vulnerabile

: Re:Sicurezza o componente impazzitto?
: MasterTheBest 10 Feb 2013, 13:59:25

Cioè, so che la pagina non esiste, ma l'ho postato qui nella speranza che qualcheduno avessa già avuto a che fare con una situazione simile. :-\


Grazie per le risposte ;D ;D ;D

: Re:Sicurezza o componente impazzitto?
: mau_develop 10 Feb 2013, 14:40:07

se abiliti il plugin e io richiedo al tuo sito www.masterthebest.xxx/index.php?option=ciao_mamma
questo ti finisce nel db in attesa che tu dai un redirect a quella situazione.... un'inutilità per la maggior parte degli usi

nel tuo caso la stringa non era ciao_mamma ma un tentativo di sqlinj per una vecchia vulnerabilità